루비 2.5.3 릴리스
루비 2.5.3이 릴리스 되었습니다.
작성자: nagachika (2018-10-18)
CVE-2018-16395: OpenSSL::X509::Name 비교가 올바르게 동작하지 않는 취약점
루비의 표준 내장 라이브러리인 openssl에서는 OpenSSL::X509::Name 클래스를 이용하여 X.509 증명서에 사용되는 이름 정보를 다룹니다.
그러나 이 클래스의 인스턴스를 서로 비교하는 경우, 데이터의 내용에 따라서 일치해서는 안 되는 경우에도 일치하는 것으로 처리되는 취약점이 발견되었습니다.
이 취약점은 CVE 아이디 CVE-2018-16395로 할당되었습니다.
작성자: usa (2018-10-17)
CVE-2018-16396: tainted 플래그가 Array#pack, String#unpack의 일부 형식에서 전파되지 않는 취약점
Array#pack과 String#unpack의 일부 형식에서 원본 데이터의 tainted 플래그가 반환되는 값에 전파되지 않았습니다.
이 취약점은 CVE 아이디 CVE-2018-16396으로 할당되었습니다.
작성자: usa (2018-10-17)